¿Qué es la exfiltración de datos?

La exfiltración de datos, también conocida como robo de datos o exportación de datos, es la transferencia de datos confidenciales a partes o destinos no autorizados con la intención de causar daños maliciosos o obtener ganancias financieras.

La filtración de datos puede ser causada por personas externas maliciosas o amenazas internas debido a:

• Ataques externos que lograron penetrar en un sistema

• Exposición de datos involuntaria o negligente por parte de un empleado

• Amenazas causadas por un infiltrado malicioso

· Robos de credenciales

La mayoría de los actos de exfiltración de datos son causados ​​por ciberdelincuentes maliciosos externos. Sin embargo, según el Informe global sobre el costo de las amenazas internas de 2022 realizado por Ponemon Institute, las amenazas internas han aumentado tanto en frecuencia como en costo en los últimos dos años, y el número de robos de credenciales casi se ha duplicado desde 2020. Y según el mismo estudio, 56 El % de los incidentes experimentados por las organizaciones representadas en esta investigación se debieron a negligencia. El costo anual promedio para remediar este tipo de incidentes fue de $6.6 millones.

Hay diferentes formas en que un MSP puede evitar que se roben datos de los sistemas cliente, pero las principales son las siguientes:

1. Implementar una solución de ciberseguridad total para prevenir, detectar y bloquear ataques en entornos empresariales que tienen como objetivo la filtración de datos. La solución debe abarcar todas las etapas del marco NIST para garantizar que las amenazas permanezcan fuera de los entornos de sus clientes y permitirle remediar el riesgo de manera eficiente y recuperar los datos afectados.

2. Reforzar el entorno en caso de que la amenaza pase los mecanismos de detección para garantizar que los datos confidenciales no se puedan filtrar fácilmente. Puede lograr esto con una tecnología de prevención de pérdida de datos (DLP) que controla los flujos de datos para evitar la filtración a través de canales de red comunes y dispositivos periféricos.

3. Utilice algún tipo de solución de administración y acceso de identidad que proporcione reglas rigurosas para controlar el acceso a datos confidenciales y permitir el monitoreo y la generación de informes sobre quién puede acceder a estos datos y cuándo.

4. Almacene datos confidenciales en ubicaciones seguras, como soluciones internas de sincronización y uso compartido de archivos, para que el acceso sea limitado.

5. Mantenga todas las aplicaciones de software actualizadas continuamente para cerrar las brechas de vulnerabilidad.

6. Implemente una arquitectura de confianza cero para entornos con datos altamente confidenciales.

7. Use VPN para limitar el cambio de ataques de intermediarios mientras navega.

La corrupción de datos a veces se confunde con la exfiltración de datos. La corrupción de datos ocurre cuando hay cambios no intencionales en un archivo. Esto puede suceder de varias maneras. Por ejemplo, un problema de hardware (p. ej., falla del disco) o software puede dañar un archivo si lo está escribiendo, editando, leyendo, almacenando, transmitiendo o procesando.

Los datos también se pueden corromper después de que se exfiltren, como puede ser el caso de los ataques de ransomware.

La exfiltración de datos se encuentra entre las últimas etapas de cualquier ataque, por lo que es importante detectar y detener estos ataques antes de que dañen los entornos de sus clientes. Estas son algunas de las formas más prácticas de detectar si se están extrayendo los datos de sus clientes.

1. Implemente una solución de ciberseguridad que supervise los entornos de sus clientes en busca de eventos sospechosos y bloquee los ataques. Para un mayor nivel de seguridad, implemente una solución EDR que le brinde las capacidades para analizar eventos sospechosos, responder rápidamente a las infracciones y minimizar el impacto de cualquier ataque o infracción en curso.

2. Implementar una solución de prevención de pérdida de datos (DLP) para monitorear el entorno en busca de transferencias de datos confidenciales no autorizadas.

3. Implementar un firewall de red, SIEM, VPN

 El ransomware es una de las formas más comunes de filtrar datos, pero las apropiaciones de cuentas de correo electrónico, los troyanos y otros tipos de malware también pueden filtrar datos.  

Kaseya sufrió un ataque de ransomware en 2021 en el que los ciberdelincuentes aprovecharon el software Kaseya VSA y lanzaron una actualización falsa que propagó el malware a los clientes del proveedor de servicios administrados (MSP) de Kaseya y sus empresas intermedias.

El problema con el ransomware es que, cuando lo detecta, ya puede ser demasiado tarde y los costos de recuperación pueden ser altos. Una vez que los archivos están encriptados, debe realizar una restauración completa al último estado bueno conocido, y la recuperación puede llevar tiempo. Alternativamente, puede encontrar formas de revertir el daño y recuperar solo la parte dañada. Sin embargo, el problema con la reversión es que la mayoría de las soluciones dependen de Microsoft (MS) Volume Shadow Copy, que es el objetivo de muchos ataques de ransomware.

El ransomware es la forma más fácil de filtrar datos a través de ataques externos y también se comercializa. Por ejemplo, un ciberdelincuente puede usar ransomware como servicio o comprar una variante de ransomware a bajo precio. El ransomware es una carga útil maliciosa que permite el cifrado y la exfiltración de datos y se puede entregar a través de una variedad de técnicas de ataque altamente sofisticadas.

Acronis Cyber ​​Protect Cloud le permite mantener una gran variedad de amenazas modernas fuera de los entornos del cliente para evitar la exfiltración de datos, con sólidas capacidades de prevención, detección y bloqueo. Une la copia de seguridad y la recuperación ante desastres, el antimalware de última generación mejorado con inteligencia artificial y la gestión de protección de endpoints en una sola solución. La integración y la automatización brindan una facilidad inigualable para que los proveedores de servicios reduzcan la complejidad al mismo tiempo que aumentan la productividad y reducen los costos operativos.

Al mismo tiempo, los paquetes avanzados, que amplían las capacidades de protección de Acronis Cyber ​​Protect Cloud, le permiten monitorear y detectar intentos de exfiltración de datos que han pasado por alto sus tecnologías de detección y bloquear o responder rápidamente a dichos eventos.

· El paquete de seguridad avanzada ofrece protección avanzada y capacidades únicas de protección cibernética para reducir los riesgos para sus clientes. Con capacidades de remediación y protección antimalware mejoradas, detiene las amenazas en tiempo real, incluidas aquellas que intentan filtrar datos, y protege los puntos finales de sus clientes de las amenazas modernas y de día cero, al tiempo que permite la recuperación de datos libres de malware. También puede anticiparse a las amenazas emergentes con la inteligencia de amenazas procesable proveniente de los CPOC de Acronis.

· El paquete Advanced Email Security , basado en la tecnología n.º 1 de Perception Point en evaluaciones independientes realizadas por SE Labs, bloquea cualquier amenaza transmitida por correo electrónico, incluido el spam, el phishing, el compromiso del correo electrónico empresarial (BEC), las amenazas persistentes avanzadas (APT) y los días cero en segundos antes de que lleguen a Microsoft 365 del usuario final, Google Workspace o cualquier buzón de correo del servidor de correo electrónico local. Aprovechando una solución de seguridad de correo electrónico basada en la nube de próxima generación, proporciona las tasas de detección más altas y los falsos positivos más bajos, combinando velocidad, escala y agilidad.

· Acronis Advanced DLP ofrece una simplicidad inigualable de aprovisionamiento, configuración y administración para evitar la fuga de datos de los puntos finales de sus clientes y fortalecer el cumplimiento normativo. Una tecnología única basada en el comportamiento crea automáticamente y mantiene continuamente políticas específicas del negocio, sin requerir meses para implementar, equipos para mantener o un doctorado. en la ley de privacidad para entender.

· Con Advanced Security + Endpoint Detection and Response (EDR) , apoya a sus clientes en todo el marco NIST para IDENTIFICAR, PROTEGER, DETECTAR, RESPONDER y RECUPERARSE de ataques que eluden otras capas de protección, al tiempo que garantiza una verdadera resiliencia y continuidad empresarial. Con la interpretación guiada de ataques, altos niveles de automatización y acciones de respuesta integrales, incluida la recuperación, puede brindar un servicio de alto valor y alto margen que es escalable en varios clientes.